Het Nederlandse cybersecuritybedrijf ThreatFabric waarschuwt voor een nieuwe smartphonemalware genaamd Vultur. De malware, die werkt op Android, gebruikt schermopnames en keylogging om logingegevens op een geautomatiseerde en schaalbare manier van gebruikers afhandig te maken.
Volgens het bedrijf richt de banking trojan zich het meest op bankinstellingen in Australië, Italië en Spanje. In Nederland zijn twee apps gevonden die worden getarget: de inmiddels opgeschorte Wallet-app van ABN Amro en de ING Bankieren-app. Die heeft volgens het nog uit te komen Dutch Apps Market-rapport over het tweede kwartaal van 2021 de hoogste installed base van alle betaal- en bankieren-apps in Nederland (41%). Ook crypto-wallets zijn een uitgesproken doelwit voor de malware.
De analisten hebben een connectie gevonden met het dropper-framework Brunhilda, dat droppers in Google Play gebruikt om malware te verspreiden. Volgens ThreatFabric zijn de dropper en de Vultur-malware door dezelfde groep ontwikkeld.
De malware gebruikt code om te detecteren wanneer een gebruiker een gegevensinvoerformulier opent. De malware maakt vervolgens een screenshot en slaat de invoer in de velden op. Ook verhindert de malware dat een gebruiker de gelogde apps kan deleten: wanneer een gebruiker bij het appdetails-scherm komt, klikt de malware automatisch op de vorige-knop, waardoor de deïnstalleerknop in feite onbereikbaar wordt.
De onderzoekers zien een verandering in de methodes van de cybercriminelen. Waar zij vaak voorheen 'algemene' trojans gebruikten, maken ze nu meer gebruik van gespecialiseerde malware die precies aansluit op de behoeften van de cybercrimineel.
